Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

De beste verdediging is een meerlaagse verdediging

Dit artikel delen:

Computable Expert

Marc Lueck
CISO EMEA, Zscaler Netherlands B.V.. Expert van Computable voor de topics Management en Security.

De bouwstenen van een goede cyberbeveiligingsstrategie bestaan uit effectieve identificatie en beperking van dreigingen. De keuzes voor deze strategie worden gemaakt op basis van kosten, complexiteit, geschiktheid en implementatie-gemak. Een strategie die gebaseerd is op een beperkt aantal beveiligingsmethoden, kan echter tekortschieten als passend beschermingsniveau voor bedrijfsapplicaties en -gegevens.

Een meerlaagse aanpak biedt een uitgebreidere beveiliging voor de manier waarop bedrijven tegenwoordig werken. Meerlaags klinkt al beter dan een eendimensionale benadering, hoe effectief die besturing ook is. Businesscases worden echter niet op instinct gemaakt of goedgekeurd. Daarom moeten de voordelen van een meerlaagse beveiligingsstrategie met cijfers worden onderbouwd. Als een beveiligingsmaatregel 99,9 procent effectief is, is één op de duizend potentiële inbreuken succesvol. Bij het toevoegen van een andere beveiligingsmaatregel met hetzelfde beschermingsniveau (meerlaagse beveiliging), wordt het succespercentage verlaagd naar één op tweeduizend.

Bij cyberbeveiliging kan elke ingezette verdediging een aanval stoppen. Elke oplossing heeft echter sterke en zwakke punten en een duidelijk doel. Wanneer deze oplossingen samen worden ingezet, leveren deze gelaagde tools een uitgebreidere beveiligingsmethode die effectiever is dan een enkele, zelfstandige implementatie, zoals alleen endpoint-bescherming. Helaas worden beveiligingstechnologieën niet geleverd met effectiviteitslabels op de doos. Het gebruik van eenvoudige kansberekeningen geeft echter elke beveiligingsstrategie een goede reden die helpt te overtuigen.

Drie manieren

"Er zijn grofweg drie manieren om cyberaanvallen af ​​te weren"

Er zijn grofweg drie manieren om cyberaanvallen af ​​te weren

  • Bescherming/preventie

Dit type verdediging, dat de meeste kenmerken van endpoint-beveiliging omvat, kan op dezelfde manier worden beschouwd als antilichamen die bescherming bieden tegen infectie. Een aanvalspoging wordt opgemerkt en een geautomatiseerde bescherming voorkomt infectie en verspreiding. Die bescherming kan zijn in de vorm van processen die bestand zijn tegen aanvallen of beveiligingsmaatregelen die worden geactiveerd door vooraf gedefinieerde sets van omstandigheden of regels.

  • Detectie

Hier handelt de verdediging op de signalen van een bestaande of lopende aanval. De technologie weet waar het op moet letten, heeft zicht op die bedreigingen en biedt, als ze worden gevonden, een organisatie de mogelijkheid om te reageren of de aanval te beperken. Zonder bewijs van deze dreiging zou het onopgemerkt blijven en hoogstwaarschijnlijk slagen.

  • Vermijding

Volgens de militair strateeg Sun Tzu is de grootste overwinning die waarvoor geen strijd nodig is. Als je kijkt naar de moderne beveiligingswereld betekent dit dat er in de eerste plaats geen aanvalsoppervlakte wordt gepresenteerd, dus er vindt geen inbreuk plaats. Toegepast op it-beveiliging betekent dit dat aanvallen zijn te vermijden door malware-actoren in de eerste plaats geen ruimte te bieden. Deze vermijdingsstrategie wordt vandaag de dag nog veel te weinig gebruikt om het risico voor bedrijven te minimaliseren. Integendeel, bedrijven zijn zich vaak niet bewust van hun aanvalsoppervlakten, en tools die ze minimaliseren worden gezien als nice-to-haves.

Door een combinatie van deze drie defensieve strategieën, heeft een organisatie een aantoonbaar hoger verdedigingsniveau. Zonder in de afgezaagde 'kill chain'-analyse te duiken, worden aanvallen door vermijding vermindert, stopt bescherming degene die er doorheen komen en maakt detectie een reactie mogelijk op bestaande of lopende aanvallen. Al met al is het eindresultaat een vermindering van potentiële en daadwerkelijke incidenten.

Zero-trust en de meerlaagse beveiligingsstrategie

Een meerlaagse beveiligingsstrategie helpt organisaties te reageren op een steeds hoger dreigingsniveau en zich aan te passen aan een nieuwe werkomgeving. Cyberbeveiligingsstrategieën die van oudsher vertrouwden op het beschermen van perimeters, moeten opnieuw worden beoordeeld. Werken op afstand, een trend die is versneld door de pandemie, is een van de verschuivingen waar beveiligingsprofessionals op reageren.

Om diezelfde reden gaan veel bedrijven over naar een zero-trust-omgeving waarin de netwerken tussen de gebruiker en de applicatie worden behandeld als ‘plumbing’ - het zijn geen vertrouwde omgevingen. Traditioneel gezien krijgen werknemers toegang tot het totale netwerk waar de applicatie zich bevindt, in plaats van alleen de applicatie zelf, en lopen het netwerk en alle andere residente applicaties risico. Dit probleem is ontstaan doordat het toenemende aantal thuiswerkers zorgt voor een verbreding van het it-domein van de onderneming. Voor veel organisaties omvat dit nu een groter aantal zakelijke en persoonlijke apparaten, evenals access-points thuis.

Zero-trust beveiligt elke toegang. Op die manier kunnen gebruikers gemakkelijk toegang krijgen tot de applicaties die ze nodig hebben zonder het netwerk open te stellen voor extra bedreigingen. Door een architectuurbenadering te hanteren waarin software-gedefinieerd beleid de juiste gebruiker veilig verbindt met de juiste app of service, zit er slechts één enkel beveiligd platform tussen gebruikers en internet. Dat platform inspecteert al het verkeer en past meerlaagse beveiliging toe voor het hoogste niveau van bescherming.

Bedrijven zijn zich steeds meer bewust van de noodzaak om hun apparaten, systemen en data-assets te beschermen door middel van een meervoudige benadering van cyberbeveiliging. Dit is mogelijk zonder onnodige complexiteit toe te voegen of wrijving voor eindgebruikers te veroorzaken. Het is onvermijdelijk dat steeds meer beveiligingsprocessen plaatsvinden binnen de cloud, de plaats van toegang tot applicaties. Meerlaagse beveiliging biedt de beste vorm van verdediging, omdat het proactief is op meerdere niveaus: het vermijden, detecteren en beschermen tegen cyberaanvallen en het voorkomen van de schade die ze veroorzaken.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

"Als een beveiligingsmaatregel 99,9 procent effectief is, is één op de duizend potentiële inbreuken succesvol. Bij het toevoegen van een andere beveiligingsmaatregel met hetzelfde beschermingsniveau (meerlaagse beveiliging), wordt het succespercentage verlaagd naar één op tweeduizend."

Hoe zou die wiskunde hier toegepast moeten worden voor de kans op succesvol doorbreken van de beveiliging :
1/(1000 + 1000) = 1/2000 ?
1/1000 * 1/1000 = 1/1000000 ?
Het artikel gaat verder over dimensies. Dat suggereert dat de beschermingsnivos onafhankelijk van elkaar zijn.

"Het gebruik van eenvoudige kansberekeningen geeft echter elke beveiligingsstrategie een goede reden die helpt te overtuigen."

Nog niet overtuigd.

Je leert een hond nog sneller het Wilhelmus zingen dan dat je Dino overtuigt maar gaat de grootste overwinning waar geen strijd voor nodig is niet om de moed bij je tegenstander weg te nemen om nog aan te vallen?

Statistisch (wat ook wiskude is) gezien zijn veel aanvallen opportunistisch dus door het de aanvaller lastiger te maken is de kans groter dat ze het bij de buren proberen. Nee, er is geen 100% zekerheid als je naast de voordeur van de perimeter verdedigiging ook nog elke kamer van een deur voorziet maar van de vuurmuur naar de branddeur voor compartimering is niet onlogisch. Als we kijken naar het hotel van multi-tenancy kijken is het echter wel lastig te beheren.

Eén van de uitdagingen met zero trust is dan ook het beheer want hoe weet ik wie er bij welke leger hoort, wat betreft de Art of War heeft Sun Tzu namelijk ook wat gezegd over misleiding.

@oudlid,

sjeezus.... dino heeft gewoon gelijk er klopt niets van de statistische beweringen in die eerste paragraaf en het legt pijnlijk bloot hoe blaat-management-volk een probleem voor iedereen is. t klinkt allemaal heel imposant enzv, maar het is gewoon bullshit!

de kansen dat BEIDE (onafhankelijke) beveiligingslagen TESAMEN/TEGELIJK doorbroken worden is het product van de individuele kansen = 1/1000 * 1/1000 = 1/10000000 (onder de voorwaarden dat er geen correlatie/afhankelijkheid dus is tussen de twee beveiligingsmethoden. het is natuurlijk niet zo dat als het breken van laag 1 ook automatisch laag 2 breekt, dan is natuurlijk de kans weer 1/1000).

SWA,
De middeleeuwse strategie van een waterlinie was effectief tegen een vijand zonder vleugels maar tijden veranderden. Een architectuurbenadering van de juiste gebruiker verbinden aan de juiste app of service gaat namelijk om het toevoegen van een andere beveiligingsmaatregel met hetzelfde beschermingsniveau op een andere laag van het OSI-model. Dus ja, de beschermingsniveaus kunnen inderdaad onafhankelijk van elkaar zijn omdat een apparaat gedeeld kan worden met verschillende rechten als we kijken naar idee van logische en fysieke toegang. Nu denk ik dat je dit niet kunt doen zonder de nodige complexiteit toe te voegen of zonder wrijving bij eindgebruikers te veroorzaken maar het toevoegen van extra beveiligingslagen zal het succespercentage van de aanvaller verkleinen, het blaat-management (multi/anycasting) in het netwerk zul je moeten verkleinen om niet het verkeerde volk te lokken.

Van eenvoudige wiskunde meteen naar de effectiviteit van middeleeuwse strategie van een waterlinie tegen een vijand zonder vleugels..
Multiblaat op de perimeter van Computable, als een alpha op planeet Tschai, kwakend op vele borden.
Ik geef me gewonnen want oudlid is specialist in wrijving veroorzaken door toevoegen van onnodige complexiteit.

Tot zover het amusement.
Waar het om zou moeten gaan is waarom je naar een hotel zou willen om je veilig te voelen

@Dino
Ik viel ook over de statistiek in het artikel, die klopt namelijk helemaal niet.

Aan de andere kant gaat statistiek hier niet altijd op. Verschillende beveiligingsproducten hebben misschien wel andere sterktes en zwakheden, maar ze zullen ongetwijfeld ook gedeelde zwakheden hebben. De kans op een succesvolle aanval nogmaals door 1000 delen bij een tweede beveiliging is dan veel te rooskleurig (vanuit de verdediging bekeken), delen door 2 komt dan wellicht dichter bij de waarheid. Dus de uitkomst klopt misschien wel, maar de bijgevoegde berekening / beredenering klopt voor geen meter.

Voeg daaraan toe dat de tekst soms wel door Google Translate lijkt te zijn vertaald, en de totaal overbodige random tags met verdere uitleg die de redactie heeft toegevoegd (waarom moet juist hier worden uitgelegd wat "netwerken" zijn, en wat heeft het computerbedrijf Sun te maken met de strateeg Sun Tzu), dat geeft het artikel een flinke zet naar beneden, terwijl het onderwerp zeer belangrijk is en er goede punten in het artikel staan.

@allen
Laat de discussie over de noodzaak van een meerlaagse verdediging gaan!

De auteur zelf komt met "eenvoudige kansberekening", meerlaagse en dimensies.
Lagen horen niets te delen, anders hoort het in dezelfde laag. Dimensies delen niets, daarom heten het dimensies.
Het artikel gaat natuurlijk over meerlaagse beveiliging, maar ik vroeg me zo af waarom iedereen zijn data en software zo graag in een hotel van multi-tenancy wil zetten, om zich daarna druk te maken om de verdediging ervan..
Bla bla zero trust, maar je laat je beveiliging over aan (de tools van) de cloudprovider.

Tot nu toe vond ik die one-issue politieke partijen zo bijzonder dat ze het onderwerp zo snel naar hun issue konden buigen, maar nu zie ik hoe gemakkelijk dat is ;-)

@allen,

- het gezwam van oudlid voegt verder niets toe.
- basis statistiek is middelbare school stof. De auteur is alle credit al kwijt bij die basis fout.
- let op er is meer wiskunde dan je altijd denkt te weten: "Dimensies delen niets, daarom heten het dimensies." is een onjuiste definitie. Hier meer: https://en.wikipedia.org/wiki/Dimension. De essentie is dat de definitie die jij probeert te hanteren voor een stukje van de ruimte op zou kunnen gaan maar niet voor de gehele gekromde ruimte altijd. Wat wel behouden blijft is het aantal coördinaten dat nodig is om de ruimte te beslaan en dat laat toe dat op plekken van de ruimte sommige coördinaten niet meer onafhankelijk zijn en dus wel degelijk 'ruimte kunnen delen'. Niet alle ruimtes zijn eenvoudig en euclidisch (https://en.wikipedia.org/wiki/Euclidean_space). Tot zo ver de les.

ik zou zeggen schoenmakers.... dus... als je een manager bent, bemoei je je maar niet meer met de inhoud :P

Dino,
Natuurlijk kun je meegaan in ad hominem van Jaap maar het wiskundige concept kans is gerelateerd maar niet gelijk aan het concept waarschijnlijkheid. Simpel gezegd is kans dus een manier om de relatie uit te drukken tussen het aantal gunstige uitkomsten in een bepaalde situatie ten opzichte van het aantal ongunstige uitkomsten uitgedrukt in een verhouding zoals 1/1000. Eén ongustige uitkomst tegen 1000 gunstige uitkomsten is zonder de relatie van impact echter nog altijd niks zeggend als risico. Of zoals Godfried Bomans het zei: "Een statisticus waadde vol vertrouwen door een rivier die gemiddeld één meter diep was. Hij verdronk."

Machiavelli was ook een militair strateeg dus wat betreft de beste verdediging kun je ook kiezen voor verdeel en heers, ieder op zijn eigen wetenschappelijke planeet.

Wiskunde is een mooi vakgebied maar de statistische kansberekening van Lingo houdt geen rekening met het feit dat er niet alleen telkens meer ballen bij komen maar ook nog eens van andere kleuren. Ik zw(e)(a)m natuurlijk maar wat voor de amusmentwaarde maar de business besluit niet alleen steeds vaker buiten de deur IT af te nemen maar hierin ook steeds vaker haar eigen devices te kiezen, "We are all just prisoners here of our own device." zoals het liedje van de Eagles over Hotel California gaat. En wat betreft het All People Seems To Need Data Processing met de collaboration systems die als toegevoegde laag of de Systems of Record heen zijn gelegd is zero trust dan ook een lastige omdat het door- of overgeven van de rechten op basis van rollen tussen de verschillende lagen begint te wringen met de beveiligingsregels.

En dan heb ik het nog niet eens over het vals spelen, in het land van de zesjes is degene die op zijn handen gaat lopen een negen.

@allen, wie vindt dat geblaat van oudlid eigenlijk humoristisch? Behalve hij zelf.

Dino heeft gelijk, de beschrijving van Marc Lueck klopt niet met zijn vereenvoudigde theoretische uitkomst. Kansberekening voor een laag is bovendien lastig. Je kan bij een laag pas achteraf de bescherming berekenen (eigenlijk de kansen inschatten). Dan moet je wel over goede meetgegevens beschikken over de dreigingen, die door een bepaalde beschermingslaag tegengehouden moeten worden. Maar er zijn steeds nieuwe en aangepaste bedreigingen. Dus zijn er continu aangepaste en nieuwe methoden van verdediging nodig. Oftewel behaalde resultaten in het verleden zijn geen garantie voor de toekomst, zelfs niet voor het real time heden. Het is alleen duidelijk dat het dreigingsniveau door cybercriminelen en statelijke actoren hoger is dan dat van cybervandalisme en steeds hoger wordt.

Het gebruik van eenvoudige kansberekeningen is in de praktijk niet meer dan een grove indicatie van de bescherming. Door de overlappende bescherming, mag de kansen niet zomaar bij elkaar optellen. Bij uitsluitende gebeurtenissen mag je kansen wel bij elkaar optellen, bij willekeurige gebeurtenissen niet vanwege de doorsnede. Twee anti-malware lagen zijn dus niet twee keer zo goed als één laag. De invloed van de human factor is nog moeilijker om mee te nemen in de berekeningen. Hetzelfde geldt voor de onbedoelde gaten die je gratis krijgt via de zero days van je leverancier.

Belangrijk is dat men zich niet alleen richt op de kans dat het mis gaat, maar ook op de mogelijke schade als het mis gaat. De kans op schade maal de gemiddelde schade is gelijk aan de gemiddelde te verwachten schade. En ook dit is niet meer dan een indicatie. Het kan net zo goed vannacht al mis gaan i.v.m. de spreiding van de waarden en de schade kan ook meteen maximaal zijn. Dat laatste moet natuurlijk voorkomen worden. Dus hoe goed is je back-up en restore regiem, et cetera? Dit is een onderdeel van je verdediging.

De opmerking “Traditioneel gezien krijgen werknemers toegang tot het totale netwerk waar de applicatie zich bevindt.” deel ik niet. In de traditie geldt dat je juist geen toegang krijgt tot apparaten, data en toepassingen, tenzij. Door verschillende ontwikkelingen is dit veranderd. En niet zelden weet het management niet eens hoe het zit. Toegang tot het totale netwerk waar de applicatie zich bevindt, is natuurlijk wel risicovol, ook bij meerlaagse beveiliging, die meestal standaard is, maar lang niet altijd goed is uitgewerkt.

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-10-14T15:05:00.000Z Marc Lueck
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.